Журнал "Information Security/ Информационная безопасность" #6, 2024

6 https://sozd.duma.gov.ru/bill/581689-8 7 А также Центральный банк Российской Федерации и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности 8 Обязательное непрерывное взаимодействие с ГосСОПКА в порядке, установленном ФСБ России 6 • ПРАВО И НОРМАТИВЫ Декабрь–2024 декабрьском обзоре изменений законодательства за 2024 год рассмотрим законопроект о внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации", требования по использование шифровальных (криптографических) средств от ФСБ России и др. В Законопроект о внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" Законопроект № 581689–8 "О внесе- нии изменений в Федеральный закон "О безопасности критической информа- ционной инфраструктуры Российской Федерации" 6 был рассмотрен во втором чтении 12 декабря 2024 г. Рассмотрение Советом Государственной Думы зако- нопроекта перенесено не весеннюю сес- сию 2025 г. Рассмотрим ряд тезисов из текста законопроекта по внесению изменений в Федеральный закон от 26.07.2017 № 187–ФЗ "О безопасности критической информационной инфраструктуры Рос- сийской Федерации" ко второму чте- нию: l Из дефиниции субъектов критической информационной инфраструктуры пред- лагается исключить индивидуальных предпринимателей. l К полномочиям Правительства РФ предлагается добавить установление отраслевых особенностей категориро- вания объектов КИИ, которыми должны будут руководствоваться субъекты КИИ при категорировании. l В соответствии с отраслевыми осо- бенностями категорирования объектов КИИ, утверждаемыми Правительством РФ, государственные органы 7 , выпол- няющие функции по регулированию в установленной сфере деятельности, фор- мируют и утверждают по согласованию с ФСТЭК России перечни типовых отрас- левых объектов КИИ и отраслевые тре- бования по категорированию, регламен- тирующие с учетом установленных переч- ней типовых отраслевых объектов КИИ особенности категорирования объектов КИИ и присвоения им категорий значи- мости. Перечни должны включать в себя наименование типов информационных систем, информационно-телекоммуника- ционных сетей, автоматизированных систем управления, выполняемых отрас- левыми объектами КИИ функций и осу- ществляемых ими видов деятельности, для обеспечения которых они предна- значены. При этом в перечни включаются только типы ИС, ИТС, АСУ, обладающие признаком значимости в соответствии с отраслевыми требованиями по катего- рированию. Отраслевые требования по категорированию определяют порядок установления соответствия объекта КИИ отраслевым критериям значимости и показателям их значений с целью при- своения ему одной из категорий значи- мости и включают в себя отраслевые признаки значимости объектов КИИ, соответствующие критериям значимости и показателям их значений, а также методики их расчета с учетом особенно- стей их функционирования. В государст- венный контроль в области обеспечения безопасности значимых объектов КИИ также войдет проверка правильности отнесения субъектами КИИ принадле- жащих им объектов КИИ к значимым в соответствии с отраслевыми особенно- стями категорирования объектов КИИ. l До утверждения отраслевых требова- ний по категорированию, а также уста- новления перечней типовых отраслевых объектов КИИ в сфере, в которой субъ- ект КИИ осуществляет деятельность, категорирование объектов КИИ осу- ществляется в соответствии с порядком осуществления категорирования, уста- навливаемым Правительством РФ. Госу- дарственные органы должны обеспечить принятие требуемых нормативных пра- вовых актов в течение трех месяцев со дня вступления в силу законопроекта. Предполагается, что изменения должны вступить в силу с 1 сентября 2025 г. l Категория значимости объектов КИИ теперь может быть изменена при моти- вированном решении ФСТЭК России, которое больше не обязано быть принято по результатам проверки, проведенной в рамках осуществления государствен- ного контроля. Изменение отраслевых особенностей категорирования объектов КИИ также может послужить причиной для пересмотра категории. l Закрепляется обязанность субъектов КИИ, которым принадлежат значимые объекты КИИ, использовать на значимых объектах КИИ российское ПО и про- граммно-аппаратные средства, требо- вания к которым установлены Прави- тельством РФ (то есть доверенные про- граммно-аппаратные средства). l Обязанности, предусмотренные ч. 2 и п. 7 ч. 3 ст. 9 187–ФЗ 8 , должны будут распространяться на руководителей госу- дарственных органов и подведомствен- ных им организаций, государственных учреждений, государственных фондов, государственных корпораций (компаний) в части принадлежащих таким органам и организациям на праве собственности, аренды или ином законном основании информационных ресурсов РФ. Порядок и технические условия установки и экс- плуатации в указанных информационных ресурсах средств, предназначенных для обнаружения, предупреждения и ликви- дации последствий компьютерных атак и реагирования на компьютерные инци- денты, в том числе средств, предназна- ченных для поиска признаков компью- терных атак, устанавливаются ФСБ Рос- сии. Порядок информирования указан- ными руководителями ФСБ России о компьютерных атаках и компьютерных инцидентах, связанных с функциониро- ванием их информационных ресурсов, устанавливается ФСБ России. Использование шифровальных (криптографических) средств Проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в госу- дарственных информационных системах, иных информационных системах госу- дарственных органов, государственных унитарных предприятий, государствен- ных учреждений, с использованием шифровальных (криптографических) средств" 9 был представлен к обществен- ному обсуждению 13 декабря 2024 г. Как отмечается в пояснительной записке, проектом приказа закрепляет- ся, что требования о защите информа- ции с использованием шифровальных (криптографических) средств теперь рас- пространяются не только на государст- венные информационные системы, но и на иные информационные системы госу- дарственных органов, государственных унитарных предприятий и государствен- ных учреждений. Ряд положений приказа ФСБ России от 24 октября 2022 г. № 524 "Об утверждении Требований о защите информации, содержащейся в госу- дарственных информационных системах, с использованием шифровальных (крип- тографических) средств" скорректирован с учетом практики его применения.